Jakarta, CoreNews.id – Serangan siber terhadap Notepad++ ternyata jauh lebih dalam dari yang selama ini diketahui publik. Tim peneliti dari Kaspersky melalui divisi Global Research and Analysis Team (GReAT) membongkar fakta mencengangkan: ada tiga rantai infeksi berbeda, dua di antaranya bahkan belum pernah terungkap sebelumnya.
Targetnya bukan sembarangan. Pemerintah di Filipina, lembaga keuangan di El Salvador, hingga penyedia layanan TI di Vietnam menjadi korban operasi senyap yang berlangsung sejak Juli hingga Oktober 2025. Para penyerang memanfaatkan kompromi infrastruktur pembaruan Notepad++ akibat insiden pada penyedia hosting.
Yang lebih mengkhawatirkan, malware yang terungkap ke publik pada Oktober 2025 hanyalah fase akhir dari kampanye panjang yang jauh lebih kompleks. Artinya? Selama berbulan-bulan, korban bisa saja terinfeksi tanpa menyadarinya.
Setiap fase serangan menggunakan IP address, domain, metode eksekusi, dan muatan berbahaya yang berbeda. Infrastruktur Juli hingga September sepenuhnya terpisah dari infrastruktur Oktober. Bagi organisasi yang hanya memeriksa indikator kompromi (IoC) yang sudah dipublikasikan, ini alarm keras: hasil “bersih” bukan berarti aman.
“Organisasi yang tidak menemukan IoC publik tidak boleh langsung merasa selamat,” tegas Georgy Kucherin dari GReAT. Rotasi alat dan infrastruktur yang hampir dilakukan setiap bulan menunjukkan tingkat disiplin operasional yang tinggi dari para pelaku.
GReAT kini merilis daftar lengkap indikator kompromi, termasuk enam hash pembaruan berbahaya, 14 URL command-and-control (C2), dan delapan hash file baru yang sebelumnya tidak dilaporkan. Analisis teknis mendalam juga telah dipublikasikan di Securelist.
Didirikan pada 2008, GReAT menjadi ujung tombak riset ancaman global Kaspersky, dengan lebih dari 35 pakar tersebar di Eropa, Rusia, Amerika Latin, Asia, dan Timur Tengah. Sementara itu, Kaspersky—berdiri sejak 1997—mengklaim telah melindungi lebih dari satu miliar perangkat di seluruh dunia.
Kasus ini menjadi pengingat brutal: bahkan pembaruan perangkat lunak yang tampak sah bisa berubah menjadi pintu masuk operasi spionase global. Pertanyaannya sekarang—berapa banyak organisasi yang belum sadar telah disusupi?
